系統視角下的網絡安全

■ 北京微電子技術研究所 陸鐵軍 李原

編者按： 本文首先從網絡在系統中的位置和作用開始分析，然后對網絡安全問題進行分析，并提出解決網絡安全的方案，該方案在單片機的IPv4協議上進行了驗證。

隨著互聯網絡的普及，信息化在當前社會發揮著重要助推器的作用。為了避免網絡攻擊和泄密，單位不得不將自己的網絡與互聯網實行物理隔離，但斷開的局域網絡并不能回避網絡安全的影響。

本文將從系統的角度來分析網絡安全的一些問題，并提出一個適應網絡安全的解決方案。

網絡在系統中的位置與作用

網絡是連接各信息系統的連接設備，由于兩個信息系統之間可能存在多個路由器，并且路由器不在自己的管控范圍，所以進入網絡的信息不受控，進入網絡的信息也應該被認定為進入了不安全區域。

網絡對于一個信息系統來說，就是一個進行信息交換的外圍設備。在系統硬件結構中，由網絡接口的收發器通過電纜與外部網絡相連，而內部與系統總線相連，在統一編址的體制中，網絡接口設備與內存統一編址，以便主機系統對資源統一管理和操作。在系統軟件的結構中，外圍設備通過驅動程序來驅動。網絡接口屬于通用設備，其接口定義是公開的。當網絡接口上連接了網絡設備以后，驅動程序將依據接口的特性自動配置。

網絡的使用實際上是應用程序調用系統接口函數，驅動程序實現通信協議并完成網絡通信。只要應用程序提供了符合IP標準的目的地址，驅動程序就能將數據信息通過網絡發送出去。當然，接收到了外部網絡數據以后，它也會一層一層地解析最后提交給目的進程。

通過上述過程可以發現，應用程序只要能夠調用網絡通信的系統接口，就能與外部網絡進行聯絡，系統內部如果存在某個進程可以接收指定IP地址的數據報，那么，外部發送過來的數據報就能收到。這樣一個機制使得任何計算機之間只要安裝了網絡驅動程序，就能快捷方便地進行信息交換。

網絡安全問題分析

網絡傳輸的報文可以分為兩類：一類是網絡報文，另一類是數據報文。網絡報文是終端與交換機/路由器之間的報文(包括鄰居確認)，用于網絡的連接。數據報文是終端與終端之間的報文，用于終端之間的數據交換。網絡報文是網絡攻擊的主要源頭，數據報文是泄密的主要源頭，有些數據報文也具有攻擊性。網絡安全問題可以歸納為三種：泄密、病毒傳染和網絡攻擊。

網絡泄密包括三種情形：主機自行向外特定目的地址發送數據報文；用戶向外發送了數據報文但由于重定向發送到了其他目的地；用戶發送的數據報文被第三方窺探截獲解讀。

網絡病毒傳染，即終端向本地網絡的所有終端發送屬于病毒的報文，終端接收報文以后以可執行文件或其他形式駐留在主機系統，終端主機由此運行效率降低或癱瘓。

網絡攻擊是通過發送特定的報文使得網絡集中向特定終端發送大量的報文，接收終端主機資源被網絡處理大量占用消耗，即網絡泛洪攻擊，或者使得終端網絡環境發生非正常改變，比如報文發往非用戶指定目的地形成泄密或形成拒絕服務。

泄密的主要原因又可歸納為本地計算機與遠程計算機的通信授權被竊取、網絡攻擊使其改變路徑、密鑰管理和密碼算法使得數據報文易于破解。

在計算機系統中，管理員權限是最大的。系統管理員可以開啟和關閉任何輸入輸出接口通道。當系統管理員退出或進入用戶模式以后，操作系統的程序和以系統管理員身份運行的程序擁有最高權限。對于由操作系統啟動的非管理程序，是用戶應用程序提交的，但是大多數應用程序并非是用戶自己編寫的，所以，大多數用戶對所運行的程序不是完全了解，這些程序中就可能包括網絡通信病毒子程序，并且駐留在主機系統中。唯一有效杜絕非法外傳的辦法是隔離。

合法發送的數據報文被截獲和解讀與網絡傳輸和網絡協議相關。網絡傳輸是通過交換機/路由器進行的，當網絡傳輸路徑由于路由器欺騙而重定向或路由器不受控時，就會被輕易截獲。

另外，在有了IPsec以后網絡是否就安全了？答案是不一定。原因是支持IPsec的密鑰安全這個前提是否滿足。當前系統環境很難保證密鑰的安全。如果密鑰泄露，最復雜的密碼算法和認證也不能發揮作用的。

另外一個重要的安全問題是：如果一個安全設備被破解，是否導致整個安全體系被攻破或是產生一個安全漏洞。隨著技術的進步,設備和芯片被破解并不是一件難事，所以，安全機制必須保證安全設備不可復制，同時，發現失控可以立即被禁用。

網絡病毒傳染產生的原因也是與通信授權相關，不同的是傳輸的對象不同，網絡病毒傳輸的對象是病毒代碼。網絡病毒傳染的速度非常快。如果說泄密的危害是單個計算機系統的數據安全問題，而網絡病毒傳染的危害是所有被感染的計算機運行安全問題。與網絡相關的運行安全問題不能再繼續使用隔離的辦法了，再隔離就沒有局域網了，安全問題可能會更加嚴峻。

網絡攻擊是主機程序發送的一些非正常的惡意報文，使得網絡進入非常規的工作狀態，或者重定向（泄密或拒絕服務），或者內存消耗殆盡（網絡協議無法執行），或者堵塞網絡（拒絕服務）。之所以會存在是由于網絡協議提供的靈活性被惡意使用。比如IP地址可以偽造、鏈路地址可以偽造、出錯報文也可以偽造，廣播或組播幾乎沒有限制，在沒有身份識別的情況下，這些偽造的信息足以使得終端和路由器/交換機不知真偽，偽造的結果是正常的報文路徑發生改變、不應出現的網絡報文在網絡上劇增和聚集。對于正常的同步報文和分片報文等，如果沒有限制的大量使用也將使得有限的內存無法滿足應用的需求。

網絡安全對策

面對當前嚴峻的信息安全形勢，CPU芯片和操作系統無疑是走向信息安全的一個關鍵環節。但是，由于CPU處理器和操作系統的復雜度越來越高，更新換代越來越快，設計漏洞是不可避免。另外，各種應用軟件也是越來越多和越來越復雜，我們不可能完全拒絕這些軟件的安裝和運行。這些都是導致網絡安全的來源。

當前針對網絡安全問題的主要解決方案是使用入侵檢測系統、防火墻和堡壘主機等。其特點是采用排除法，通用性較強；但無法排除未知病毒或攻擊。因此，網絡安全處理措施必須徹底放棄這種處理方法。

解決方案

1.將終端的網絡通信控制權限從主機環境轉移出來完全由網絡管理員獨立控制。方法是對與網絡相關的網絡接口芯片進行增強，使增強的網絡接口芯片成為具有獨立性的網絡安全芯片。

2.網絡安全芯片不僅具有獨立自主的控制能力，同時具有實時管控主機系統與外部網絡連接的能力，具有收發雙方身份設置與確認的接入機制。

3.該網絡安全芯片專注于網絡報文的處理，特別是攻擊報文的處理，極大地釋放主機用于處理網絡事務的計算資源，確保在網絡攻擊時的主機系統正常運行。

4.該芯片具有唯一的身份識別碼，擁有獨立的密鑰不可復制的管理機制和安全的動態關聯信息，是身份認證和加解密的有力保障；用戶層無需考慮身份認證和加密解密，網絡安全芯片自動添加身份信息并進行身份認證和接入控制，通過幀的動態重構與實時密鑰和一幀一密的密碼機制，提高報文的抗暴力破解強度。

5.面對網絡攻擊，IPv6協議和IPv4的在網絡層通過身份認證來快速處理外部攻擊報文，面對內部的網絡攻擊，首先在發送端進行檢控，然后在接收端也進行限制和檢查，以防止內部產生的泛洪攻擊。

6.如果在接入層的交換機中設置非路由器端口與路由器端口控制，則可以進一步簡化路由器欺騙與攻擊的處理。

與傳統的查找病毒特征不同，它只選擇合法用戶進行身份認證，在認證過程中，不采用固定序列碼的方式，而是采用動態關聯信息進行認證，這樣不僅降低了計算量，使得在接口芯片上實現成為可能，而且使得身份認證更加安全可靠。

結語

本文通過對網絡設備的使用分析，研究了與網絡安全相關的特性，提出一個獨立于主機的動態重構解決方案，將網絡安全管理獨立于主機系統，不僅可以解決主機被控制的非法對外傳送，還可解決系統管理員未經授權的對外數據信息傳送；利用微電子技術，將普通的網絡接口芯片提升為網絡安全芯片，不僅釋放了主機系統面對網絡攻擊的網絡處理能力，同時集成了密鑰的管理功能，使得網絡協議的實現更加完善。本方案已通過單片機原型機系統在IPv4上進行了驗證。